|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
自己的一些平常用的定位主动防御特征码的方法。。
* |' t( w' n7 N7 x$ i L
7 M: h1 u2 I* G* V* x. ?( n) L+ p/ s8 [现在分享出来。。。
4 t( `7 K( T) x# z& a! l- t' E2 Q# v2 \' I
工具:myccl.OD
j) a0 i+ k' d& H$ G- j0 U* d: k- _7 S; V6 O( Z- Z
免杀必备的工具哦 0 D' i" G+ }, M% y& J/ D5 i$ W) r# K
; T( D- V6 U" @5 n# V6 {( L8 ~
用myccl分块文件。。。尽量少点 比如 10块+ x* ~/ n: j& W r) Y
( @2 z( n: b v' D g打开文件夹 一个个拖入OD。。。(为什么要拖入OD呢,其实我们吧一个文件拖入OD时,这个文件等于变相的运行了)
1 T j& J, Y0 ~; [, \/ s9 K. a/ m# n! \9 f
好了,这个时候会提示文件无法运行的窗口,
; M2 [* U* [' B
- ^3 c3 q+ m* X) Y, t我们不管它,直接确定。。# z. V0 m$ \( D/ z L* u
( t3 e9 R1 X& N- t如果一个文件拖入OD 杀软提示了主动防御的提示% |. ?: c! `$ \
$ s/ ?3 o5 ^6 T- w" j我们记下这个文件,删除它,
; g' `' x" b. O4 U
$ W$ I$ |6 K% u接着拖入其他文件。。一一确定。。# V: ^; r" M! I
$ n3 z7 ^9 u( q: J. \3 y, p( v0 K
知道没有提示,我们手动删除掉被提示的文件。。。
; y9 j7 E' h1 K o
, |; G8 X; w( I5 q C接着二次处理,再一一拖入OD 再按照上面的方法 一一确定文件$ K( L- Y# C! s+ w$ J7 y" b
) o8 v% S$ }: o6 L5 G% t9 u# I% O
接着二次处理,重复定位 直到文件长度为2的时候8 ]# Y8 ?2 q. @* i
% W5 N0 {, }/ I
我们久确定了我们木马的主动防御特征码。# m( \" ~5 C8 _# T$ {$ P5 m5 m0 @
$ j9 A0 G9 ^6 t) T9 M6 ]注意,每个杀软的对不同的木马的特征码是不一样的4 ?" z g8 t2 J- `# L
! s! K2 V. J) u% m! K- X% J& C我相信 知道定位表面特征码的朋友一看就知道了。。。 呵呵 |
|
发表于 2009-3-2 14:02
| 
发表于 2009-3-2 21:26
| 